中金数据系统有限公司(“中金数据系统”Centrin Data Systems)成立于2005年5月,是一家全内资的高新技术服务企业。中金数据系统在北京、上海、华南、烟台建立四个核心节点数据中心,并在西部建立远程备份中心,最终形成一个完备的数据中心网络。
中金数据北京数据中心位于北京经济技术开发区(亦庄),规划总建筑面积超过9万平方米。中金数据北京数据中心的网络系统包括三套网络:OA网、弱电网和外联网。
OA网是中金数据公司内部办公网络,没有自己的互联网出口,但能够通过外联网访问Internet;弱电网是弱电系统的专用网络,主要承载安防和楼控业务;外联网是提供给公司内部员工和外部客户进行互联网访问的网络。弱电网是一张物理完全隔离的网络,其安全性不用特别考虑。如何确保OA网和外联网的安全性,是中金数据用户最为关心的问题。
部署传统的网络安全设备是保证网络安全的第一步。中金数据用户在互联网出口部署了防火墙和入侵防御系统。在OA网与外联网之间部署防火墙进行安全隔离,确保OA网的安全性。
在部署了上述专业的安全设备之后,中金数据用户认为还有必要对用户的安全接入进行控制。特别是在外联网区域,如果外部客户的终端可不受控制的随意接入外联网,则将会给整个外联网包括OA网都带来很大的安全隐患。在OA网内,终端不打补丁、不升级病毒库、随意安装软件的现象也很普遍,同样有必要对这种行为加以控制。
中金数据用户最终选择了H3C公司的“EAD终端准入控制”解决方案解决终端的安全接入问题。该方案从终端用户准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及防病毒软件产品、系统补丁管理产品的联动,对接入网络的终端用户强制实施企业安全策略,严格控制终端用户的网络使用行为,可以加强终端用户的主动防御能力,大幅度提高网络安全。
EAD终端准入控制解决方案在用户接入网络前,通过统一管理的安全策略强制检查终端用户的安全状态,并根据对终端用户安全状态的检查结果实施接入控制策略,对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁升级等操作;在保证终端用户具备自防御能力并安全接入的前提下,可以通过动态分配ACL、VLAN等合理控制用户的网络权限,从而提升网络的整体安全防御能力。
中金数据有限公司EAD终端准入控制的部署方案如下图所示:
外联网和OA网内的所有终端,首先需要安装H3C iNode智能客户端软件,负责身份认证的发起和安全策略的检查。在外联网核心部署EAD安全策略服务器,负责给客户端下发安全策略、接收客户端安全策略检查结果并进行审核,向安全联动设备发送网络访问的授权指令。在网络核心部署第三方的补丁服务器、病毒服务器等,当用户通过身份认证通过但安全认证失败时,将被隔离到隔离区,此时用户能且仅能访问隔离区中的服务器,通过第三方服务器进行自身安全修复,直到满足安全策略要求。
中金数据有限公司用户通过部署H3C EAD终端准入控制系统,实现了以下功能:
中金数据外联网区域需要为合作伙伴提供接入服务,传统的“用户名+密码”的身份认证方式安全保障系数低,存在重大的安全漏洞,外来人员仅凭盗取的相关用户身份凭证就能以任何一台设备进入网络,严重威胁网络系统的安全。通过部署H3C公司的EAD终端准入控制解决方案,除基于用户名和密码的身份认证外,还支持身份与接入终端的MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口号等信息进行绑定,支持智能卡、数字证书认证,增强了身份认证的安全性。
中金数据目前在已经在网络中部署了防病毒系统和补丁系统,但是在日常运维中,仍然发现部分用户不及时升级病毒库和补丁,导致在局域网中病毒、网络蠕虫、恶意软件、特洛伊木马、间谍软件、网络钓鱼陷阱、互联网邮件病毒以及拒绝服务(DOS)攻击等各种安全威胁事件成指数级增长。此外,在外联网区域,中金数据还允许外来用户接入网络,如何对外来用户终端的安全性进行控制,也是一个重要的问题。H3C公司的EAD系统通过对用户的身份进行认证,对用户的接入终端进行安全状态评估(包括防病毒软件,系统补丁等),根据安全状态的检查结果实施接入控制策略,使健康的用户进入网络,不健康的用户放在隔离区强制进行病毒库或补丁的升级,从而使入网的用户和设备有较高的健康度和可信度。
H3C公司的EAD解决方案支持根据用户身份动态下发ACL和VLAN等属性,对于外联网用户,可以通过ACL禁止他们访问某些网段,从而保障网络资源的合法使用和网络环境的安全,提升网络的整体安全防御能力。另外,通过动态ACL机制,还可以杜绝企业员工对不良网站和危险资源的访问,防止间谍软件、恶意代码等软件对企业内网带来的安全风险。
